ARP-forgiftning (også kendt som ARP-spoofing) er et cyberangreb udført gennem ondsindede ARP-meddelelser
et ARP-angreb er vanskeligt at opdage, og når det først er på plads, er virkningen umulig at ignorere.
en hacker, der med succes implementerer enten ARP-spoofing eller ARP-forgiftning, kan få kontrol over hvert dokument på dit netværk. Du kan blive udsat for spionage, eller din trafik kan gå i stå, indtil du giver hackeren det, der anmodes om løsepenge.
vi leder dig gennem, hvordan et ARP-angreb fungerer, og vi giver dig et par løsninger, du kan implementere med det samme for at holde din server sikker.
Hvad er en ARP?
i 2001 introducerede udviklere address resolution protocol (ARP) til udviklere. På det tidspunkt beskrev de det som en “arbejdshest”, der kunne etablere IP-niveau forbindelser til nye værter.
arbejdet er kritisk, især hvis dit netværk konstant vokser, og du har brug for en måde at tilføje ny funktionalitet uden at godkende hver anmodning selv.
grundlaget for ARP er media access control (MAC). Som eksperter forklarer, er en MAC en unik adresse på et ethernet-netværkskort (Nic). Disse numre er tildelt på fabrikken, selv om de kan ændres ved hjælp af programmer.
i teorien skal en ARP:
- Accepter anmodninger. En ny enhed beder om at deltage i det lokale netværk (LAN) og give en IP-adresse.
- oversætte. Enheder på LAN kommunikerer ikke via IP-adresse. ARP oversætter IP-adressen til en MAC-adresse.
- Send anmodninger. Hvis ARP ikke kender den MAC-adresse, der skal bruges til en IP-adresse, sender den en ARP-pakkeanmodning, som spørger andre maskiner på netværket for at få det, der mangler.
denne funktionalitet sparer netværksadministratorer meget tid. Anmodninger håndteres bag kulisserne, og netværket gør al den oprydning, der kræves. Men der findes farer.
arp angreb: Nøgledefinitioner
en ondsindet udvikler, der håber at få adgang til vigtige data, kan afsløre sårbarheder og snige sig ind, og du ved måske aldrig, at det sker.
der findes to typer ARP-angreb.
- ARP spoofing: en hacker sender falske ARP-pakker, der forbinder en angribers MAC-adresse med en IP på en computer, der allerede er på LAN.
- ARP-forgiftning: efter en vellykket ARP-spoofing ændrer en hacker virksomhedens ARP-tabel, så den indeholder forfalskede MAC-kort. Smitten spreder sig.
målet er at forbinde en hackers MAC med LAN. Resultatet betyder, at enhver trafik, der sendes til det kompromitterede LAN, i stedet går til angriberen.
i slutningen af et vellykket ARP-angreb kan en hacker:
- kapre. Nogen kan se over alt, hvad der leder til LAN, før de frigiver det.
- nægte service. Nogen kan nægte at frigive noget fra den inficerede LAN, medmindre en form for løsepenge er betalt.
- Sid i midten. En person, der udfører et mand-i-midten-angreb, kan gøre næsten alt, herunder at ændre dokumenter, før de sendes ud. Disse angreb truer både fortrolighed og reducerer brugertilliden. De er blandt de farligste angreb, som nogen kan begå.
hvis en hacker ønsker at overtage en slutvært, skal arbejdet udføres hurtigt. ARP-processer udløber inden for cirka 60 sekunder. Men på et netværk kan anmodninger dvæle i op til 4 timer. Det giver masser af tid for en hacker til både at overveje og udføre et angreb.
kendte Arp-sårbarheder
hastighed, funktionalitet og autonomi var målene, da ARP blev udviklet. Protokollen blev ikke lavet med sikkerhed i tankerne, og det har vist sig meget let at forfalske og finjustere for ondsindede ender.
en hacker har brug for blot et par værktøjer til at gøre dette arbejde.
- forbindelse: angriberen har brug for kontrol over en LAN-tilsluttet maskine. Endnu bedre er hackeren allerede direkte forbundet til LAN.
- kodningsfærdigheder: hackeren skal vide, hvordan man skriver ARP-pakker, der straks accepteres eller gemmes på systemet.
- eksterne værktøjer: en hacker kunne bruge et spoofing-værktøj, såsom Arpspoof, til at sende forfalskede eller på anden måde uautentiske ARP-svar.
- tålmodighed. Nogle hackere briser hurtigt ind i systemer. Men andre skal sende snesevis eller endda hundreder af anmodninger, før de narrer LAN.
ARP er statsløs, og netværk har tendens til at cache ARP-svar. Jo længere de dvæler, jo farligere bliver de. Et resterende svar kunne bruges i det næste angreb, hvilket fører til ARP-forgiftning.
der findes ingen metode til identitetssikring i et traditionelt ARP-system. Værter kan ikke afgøre, om pakker er autentiske, og de kan ikke engang bestemme, hvor de kom fra.
forebyggelse af arp-forgiftning
hackere bruger en forudsigelig række trin til at overtage et LAN. De sender en forfalsket ARP-pakke, de sender en anmodning, der opretter forbindelse til spoofen, og de overtager. Anmodningen sendes til alle computere på LAN ‘ et, og kontrollen er afsluttet.
netværksadministratorer kan bruge to teknikker til at opdage ARP-spoofing.
- passiv: overvåge ARP trafik og kigge efter kortlægning uoverensstemmelser.
- Aktiv: Injicer forfalskede ARP-pakker i netværket. Et spoofingangreb som dette hjælper dig med at identificere svage punkter i dit system. Afhjælp dem hurtigt, og du kan stoppe et igangværende angreb.
nogle udviklere forsøger at skrive deres egen kode for at opdage en spoof, men det kommer med risici. Hvis protokollen er for streng, Bremser overdreven falske alarmer adgangen. Hvis protokollen er for permissiv, bliver angreb i gang ignoreret, da du har en falsk følelse af sikkerhed.
kryptering kan være nyttigt. Hvis en hacker graver ind i dit system og kun får forvrænget tekst uden afkodningsnøgle, er skaden begrænset. Men du skal anvende kryptering konsekvent for fuld beskyttelse.
brug af en VPN kan være en enestående kilde til beskyttelse. Enheder forbinder via en krypteret tunnel, og al kommunikation krypteres straks.
beskyttelsesværktøjer til at overveje
masser af virksomheder leverer overvågningsprogrammer, du kan bruge til både at overvåge dit netværk og få øje på ARP-problemer.
disse er fælles løsninger:
- Arpur: Overvåg ethernet-aktivitet, herunder ændring af IP-og MAC-adresser, via dette værktøj. Se over loggen hver dag, og få adgang til tidsstempler for at forstå, hvornår angrebet skete.
- ARP-GUARD: tryk på en grafisk oversigt over dit eksisterende netværk, herunder illustrationer af kontakter og routere. Tillad programmet at udvikle en forståelse af, hvilke enheder der er på dit netværk, og opbyg regler for at kontrollere fremtidige forbindelser.
- Brug dette værktøj til at opdage angreb, der sker under din brandvæg. Få besked, så snart et angreb begynder, og brug værktøjet til at bestemme, hvad de skal gøre næste.
- Trådbark: Brug dette værktøj til at udvikle en grafisk forståelse af alle enheder på dit netværk. Dette værktøj er kraftfuldt, men du har muligvis brug for avancerede færdigheder for at implementere det korrekt.
- pakkefiltrering: brug denne teknik til at styre netværksadgang ved at overvåge indgående og udgående IP-pakker. Pakker er tilladt eller stoppet baseret på kilde og destination IP-adresser, porte og protokoller.
- statisk ARP: Disse Arp ‘ er føjes til cachen og bevares permanent. Disse vil fungere som permanente kortlægninger mellem MAC-adresser og IP-adresser.
arbejde med Okta
vi ved, at du er forpligtet til at holde dine systemer sikre og sikre. Vi ved også, at du måske er usikker på, hvor du skal begynde, og hvilke skridt du skal tage lige nu. Vi kan hjælpe. Oplev, hvordan Okta kan hjælpe med at forhindre ARP-forgiftningsangreb.
Arp netværk Tricks. (Oktober 2001). Computerverden.
domæne 4: kommunikation og netværkssikkerhed (Design og beskyttelse af netværkssikkerhed). (2016). CISSP studievejledning (tredje udgave).
faktablad: Man-in-the-Middle angreb. (Marts 2020). Internet Samfund.
om at undersøge ARP Spoofing sikkerhedsløsninger. (April 2010). International Journal of Internet Protocol Technology.
traditionel ARP. (Januar 2017). Praktisk Netværk.
adresse Resolution Protocol Spoofing angreb og sikkerhed tilgange: en undersøgelse. (December 2018). Sikkerhed og privatliv.
arp angreb afsløring begrænsninger. Sikkerhed Infosec taske.
værktøj til overvågning af Ethernet-aktivitet. (April 2013). TecMint.
Arp-GUARD datablad. ARP-VAGT.
hjem. – Arp.
hjem. Trådbark.